Comme nous l’avons signalé précédemment, les nouvelles règles du formulaire 8-K de la Securities and Exchange Commission (« SEC ») des États-Unis pour la déclaration des incidents importants de cybersécurité entrent en vigueur aujourd’hui, le 18 décembre, pour les déclarants autres que les petites sociétés déclarantes. Les nouvelles règles exigent que la déclaration soit soumise à la SEC dans les quatre jours ouvrables suivant la détermination de l’importance relative.
La réponse aux incidents deviendra potentiellement plus compliquée à mesure que les charges croissantes liées à la conformité en temps opportun avec les nouvelles exigences du formulaire 8-K ajoutent une complexité supplémentaire aux modèles de faits délicats. La divulgation sur le formulaire 8-K peut être retardée de 30 jours si le procureur général des États-Unis fournit une notification écrite à la SEC indiquant que la sécurité nationale ou la sûreté publique serait considérablement compromise par une divulgation immédiate. Récemment, le FBI a publié diverses lignes directrices sur la manière dont il traitera les demandes de délai de déclaration émanant du ministère de la Justice (« DOJ ») en vertu des nouvelles règles. Ceux-ci inclus:
Question 104B.01
Question: Une personne inscrite est confrontée à un incident important de cybersécurité et demande au procureur général de déterminer que la divulgation de l’incident sur le formulaire 8-K présente un risque important pour la sécurité nationale ou la sécurité publique. Le procureur général refuse de prendre une telle décision ou ne répond pas avant que le formulaire 8-K ne soit autrement dû. Quelle est la date limite pour que le déclarant dépose un formulaire 8-K, article 1.05, divulguant l’incident ?
Répondre: Le déclarant doit déposer le formulaire 8-K, article 1.05, dans les quatre jours ouvrables suivant sa détermination selon laquelle l’incident est important. Demander un délai ne modifie pas l’obligation de production du déclarant. La personne inscrite peut retarder la fourniture de la divulgation de l’article 1.05 du formulaire 8-K uniquement si le procureur général détermine que la divulgation poserait un risque substantiel pour la sécurité nationale ou la sécurité publique et informe la Commission de cette décision par écrit avant que le formulaire 8-K ne soit autrement exigible. Pour plus d’informations sur les procédures du ministère de la Justice concernant le point 1.05(c) du formulaire 8-K, veuillez consulter Déterminations sur les retards importants en cas d’incident de cybersécurité du ministère de la Justice, ministère de la Justice (2023), à l’adresse
Question 104B.02
Question: Une personne inscrite est confrontée à un incident important de cybersécurité et demande au procureur général de déterminer que la divulgation de l’incident sur le formulaire 8-K présente un risque important pour la sécurité nationale ou la sécurité publique. Le procureur général prend cette décision et informe la Commission que la divulgation doit être retardée pendant une période prévue au point 1.05(c) du formulaire 8-K. Le déclarant demande par la suite au procureur général de déterminer que la divulgation devrait être retardée pendant une période supplémentaire. Le procureur général refuse de prendre une telle décision ou ne répond pas avant l’expiration du délai actuel. Quelle est la date limite pour que le déclarant dépose un formulaire 8-K, article 1.05, divulguant l’incident ?
Répondre: Le déclarant doit déposer le formulaire 8-K, article 1.05, dans les quatre jours ouvrables suivant l’expiration du délai prévu par le procureur général. Pour plus d’informations sur les procédures du ministère de la Justice concernant le point 1.05(c) du formulaire 8-K, veuillez consulter Déterminations sur les retards importants en cas d’incident de cybersécurité du ministère de la Justice, ministère de la Justice (2023), à l’adresse
Question 104B.03
Question: Une personne inscrite est confrontée à un incident important de cybersécurité et la divulgation de l’incident sur le formulaire 8-K est retardée conformément à l’article 1.05(c) du formulaire 8-K pour une période pouvant aller jusqu’à 30 jours, comme spécifié par le procureur général. Par la suite, pendant la période d’attente, le procureur général détermine que la divulgation de l’incident ne pose plus de risque important pour la sécurité nationale ou la sécurité publique. Le procureur général avise la Commission et la personne inscrite de cette nouvelle détermination. Quelle est la date limite pour que le déclarant dépose un formulaire 8-K, article 1.05, divulguant l’incident ?
Répondre: Le déclarant doit déposer le formulaire 8-K, article 1.05, dans les quatre jours ouvrables suivant la notification du procureur général à la Commission et au déclarant selon laquelle la divulgation de l’incident ne pose plus de risque substantiel pour la sécurité nationale ou la sécurité publique. Voir également « Changements de circonstances pendant une période de retard » dans Department of Justice Material Cybersecurity Incident Delay Determinations, Department of Justice (2023), à l’adresse
Question 104B.04
Question: Le seul fait qu’une personne inscrite consulte le ministère de la Justice concernant la possibilité d’un délai en vertu de l’article 1.05(c) entraînerait-elle nécessairement la détermination que l’incident est important et donc soumis aux exigences de l’article 1.05(a) ?
Répondre: Non. Comme la Commission l’a déclaré dans le communiqué d’adoption, la détermination du caractère important d’un incident repose sur tous les faits et circonstances pertinents entourant l’incident, y compris des facteurs à la fois quantitatifs et qualitatifs, et devrait se concentrer sur la notion traditionnelle d’importance relative telle qu’elle est formulée. par la Cour suprême.
De plus, les exigences de l’article 1.05 n’empêchent pas un déclarant de consulter le ministère de la Justice, y compris le FBI, la Cybersecurity & Infrastructure Security Agency, ou toute autre agence d’application de la loi ou de sécurité nationale, à tout moment concernant l’incident, y compris avant une l’évaluation de l’importance relative est terminée.
Nous continuons de croire que le DOJ n’accordera un délai que dans les circonstances les plus extraordinaires, de sorte que les entreprises publiques ne devraient pas s’attendre à ce que des délais soient accordés à une certaine fréquence. En conséquence, les entreprises publiques devraient envisager d’intégrer la nouvelle exigence du formulaire 8-K dans leurs plans de réponse aux incidents afin de garantir une conformité en temps opportun avec les nouvelles règles. Pour plus d’informations, lisez notre alerte client sur les exigences de divulgation de la SEC.